cf cdn Cloudflare证书墙？禁用在启用ssl功能，重新颁发https还是gts没办法换到le提供商，tls1.3换1.2明文也没用，依旧会ban掉ip的tcp 443端口失联大约120秒，平滑迁移阿里

小樱

cf cdn Cloudflare证书墙？禁用在启用ssl功能，重新颁发https还是gts没办法换到le提供商，tls1.3换1.2明文也没用，依旧会ban掉ip的tcp 443端口失联大约120秒，平滑迁移阿里

就是这个证书会出问题，gts


重启光猫更换电脑ip后（或者等超过2分钟，主要是重启光猫只要10秒更换新的电脑ip，换ip速度更快），直接访问 https://ip 正常，毕竟cf的ip地址不会返回sni证书


不强制301跳转https，只使用http访问的时候，一切正常排除域名本身被墙，例如cf提供的trace接口

1. http://bbs.itzmx.com/cdn-cgi/trace

复制代码

但是浏览器访问ssl hallo后就超时了，怀疑是tls1.3加密证书交换的原因


这个证书墙不针对域名，仅针对ip地址的tcp端口，443端口会失联大约2分钟


尝试修改最低TLS版本，把1.3改成1.2，防止证书交换过程被加密


并且需要把TLS 1.3的总开关关闭


再次尝试抓包，在TLS 1.2明文传输的情况下，一旦证书传输完成后，依旧发生RST连接重置现象，等于说和tls版本无关，只能更换证书解决


可以确认的是，群里其它人使用le证书的站点没有问题，不知道在cf里如何更换免费证书提供商，系统是随机分配的



网上找到相同的问题
https://github.com/net4people/bbs/issues/381

总之先观望一天吧，不行就发工单给cf客服支持人员问问能不能免费换成其它证书颁发商，或者使用其它cdn（免费cdn中视乎也没有比cf更好的了）

发现cf居然不提供客服工单了，想试试问下能不能换成le，，发现只有ai机器人和社区支持
感觉总不可能是域名墙，群里问了下好像别人没有类似的情况（为什么群友是le颁发商，而我是gts！），如果是sni阻断一般在证书交换之前发hallo就ban了，而且改hosts访问也是正常的，只有cf的ip才有这种现象，我还是比较认可是证书墙

受影响的子域名为下三个
1、att、bbs

感觉可以先迁移到阿里云免费cdn，直接套娃，回源ip写cf，阿里云这边可以自己选证书颁发商


试了平滑迁移，访客真实ip获取功能也是正确的，无需任何担心